发布勒索软件解密器的决定涉及帮助受害者恢复数据和警告犯罪分子代码错误之间的微妙平衡。
勒索软件——现代数字世界的安全祸害——变得越来越危险。是 教育用户该做什么,但要领先于杀手级加密技术是很困难的,这些加密技术散布在一层层模糊的数字轨道上,隐藏着坏人的行为和你的文件。与此同时,死亡人数淹没了企业,并束缚了寻求解决方案的立法者的手脚。但如果我们破解了勒索软件的钥匙,我们不就可以帮助坏人下次做得更好吗?
本月早些时候,在数字 车间 在捷克共和国的中心地带,勒索软件解密器的开发人员与与会者分享了他们如何破解部分代码并取回用户数据。通过仔细分析,他们有时会发现坏人的实施或操作中的错误,这使他们能够逆转加密过程并恢复加扰的文件。
但是,当好人向公众宣布该工具时,诈骗者很快就会用“更完全无法破解”的策略重新配置他们的产品,从而阻止研究人员破解下一批文件。基本上,研究人员正在以非良性循环的方式为他们调试诈骗者的软件。
所以我们不是在修复它,而是在追赶它,对其做出反应,掩盖损害。但任何成功都可能是暂时的,因为对于那些认为自己受到重创的小企业来说,从大部分破坏中恢复过来仍然是不可能的。 必须付费才能继续营业.
各国政府——尽管他们的初衷是好的——也做出了反应。他们可以推荐、协助事件响应过程,或许还可以提供支持,但这也是被动的,对刚刚破产的企业几乎没有什么安慰。
所以他们切换到 追踪财务状况。但坏人通常很擅长隐藏——他们只需付出刚偷来的大笔钱就可以买得起所有好工具。而且,坦率地说,他们可能比许多政府行为者了解得更多。这就像用一匹跑得相当快的马追逐一辆 F1 赛车。
不管怎样,研究人员不仅仅需要成为坏人的贝塔测试员。
您也不能仅仅检测网络犯罪分子的工具并阻止它们,因为他们可以利用用于计算机日常操作的标准系统工具;它们甚至可能作为操作系统的一部分提供。开源工具是将整个系统粘合在一起的粘合剂,但也可以是将锁定系统的勒索软件加密过程粘合在一起的粘合剂。
那么接下来你就需要确定犯罪分子的行为方式。在机械修理厂里,手里拿着一把锤子并不是一件坏事,除非你挥舞窗户将其打破。同样,检测可疑行为可以检测攻击的开始。但以新的攻击变体的速度做到这一点是很困难的。
在欧洲,人们在召集各国政府分享有关勒索软件趋势的信息方面做出了巨大努力,但领导这一活动的组织并不是直接执法部门;而是直接领导该组织的组织。他们只能希望执法部门迅速采取行动。但这并不会以恶意软件的速度发生。
云肯定有所帮助,因为安全解决方案可以利用它来推出您的计算机应触发的最新攻击前场景以阻止攻击。
它还缩短了有效勒索软件工具和技术的寿命,因此它们赚不到多少钱。坏人开发好的勒索软件需要花钱,他们希望得到回报。如果它们的有效载荷只能工作一次或两次,那是不划算的。如果没有回报,他们就会去做其他有回报的事情,也许组织可以恢复正常业务。
备份驱动器
会议中的一项专业提示:如果您受到勒索软件的攻击,请备份您的加密数据。如果解密器最终发布,您将来仍然有机会恢复丢失的文件。并不是说它现在对你有帮助。
当然,备份的最佳时机是当您没有被勒索软件勒索时,但开始永远不会太晚。尽管 WeLiveSecurity 的指南已经有十多年的历史了 备份基础知识 仍然提供实用信息 提供有关如何解决问题并开发适用于您的家庭或小型企业的解决方案的实用信息。
ESET 与勒索软件
如果您想知道 ESET 在创建勒索软件解密器方面的立场,我们采取混合方法:我们确实希望保护人们免受勒索软件(我们通常将其归类为 Diskcoder 或 Filecoder 恶意软件)的侵害,并提供恢复数据的方法。与此同时,我们也不希望提醒这一祸害背后的犯罪团伙,我们已经完成了相当于用一组数字开锁器打开他们上锁的门的技术。
在某些情况下,解密器可能会发布并通过 ESET 知识库文章向公众开放 独立的恶意软件清除工具。在发布时,我们目前有大约六种解密工具可用。其他此类工具可在 “不再勒索赎金”倡议的网站,ESET 自 2018 年以来一直是其联营合作伙伴。不过,在其他情况下,我们确实编写解密器,但不会公开发布有关它们的信息。
每种勒索软件是否公布解密器的标准各不相同。这些决定基于对许多因素的仔细评估,例如勒索软件的数量、严重性、勒索软件作者修补自己软件中的编码错误和缺陷的速度等等。
即使各方联系 ESET 寻求解密其数据的帮助,有关如何执行解密的具体信息也不会公开共享,以便使解密尽可能长时间地进行。我们认为,这在保护客户免受勒索软件侵害和仍能够在尽可能长的时间内协助解密勒索软件文件之间提供了最佳权衡。一旦犯罪分子意识到他们的加密中存在漏洞,他们可能会修复它们,并且可能需要很长时间才能发现其他缺陷,从而允许数据在所有者不被勒索的情况下恢复。
处理勒索软件,无论是其操作者还是勒索软件代码本身,都是一个棘手的过程,而且这通常是一场好人与坏人战斗的国际象棋游戏,可能需要数周、数月甚至数年的时间才能结束。 ESET 对此的看法是尽力做最大的善事,这意味着在尽可能长的时间内帮助尽可能多的人。这也意味着,如果您确实遇到受勒索软件影响的系统,请不要放弃希望,ESET 仍有可能帮助您恢复数据。
勒索软件可能是一个不会很快消失的问题,但 ESET 随时准备保护您免受勒索软件侵害。不过,从一开始就预防它仍然比治愈它要好得多。
